応用情報技術者過去問題 平成22年春期 午後問12
⇄問題文と設問を画面2分割で開く⇱問題PDF問12 システム監査
外部委託管理の監査に関する次の記述を読んで,設問1~3に答えよ。
D社は,衣料品卸売会社である。多品種少量の商品を短いサイクルで卸すことを可能にするため,既存の物流システム(以下,旧システムという)を再構築し,今春,物流統合システム(以下,新システムという)を完成させた。新システムは,メーカー及び小売店との間で諸情報をインターネット経由で授受する機能など,D社にとって初めてオープン系システムの技術を取り入れたものであった。
新システム開発プロジェクトは,業務チーム,開発チーム及び運用チームの3チームで構成され,情報システム部が主管する開発チームは,旧システムの開発,保守で実績のあったE社を外部委託先とした。開発チームのメンバーは,D社内に設置された新システム開発プロジェクトルームに集結し,開発を進めた。図に新システム開発プロジェクト体制を,表に新システム開発工程と主要成果物を示す。 新システム稼働後,D社の監査室は,社長からの指示を受け,新システム開発業務における外部委託管理の妥当性について,システム監査を実施することになった。被監査部門は,情報システム部及びE社であった。監査チームは,個別計画を策定し,予備調査,本調査,評価・結論という手順で監査を進めた。予備調査及び本調査によって判明した事実は,次のとおりであった。
〔判明した事実〕
〔指摘事項(抜粋)〕
D社は,衣料品卸売会社である。多品種少量の商品を短いサイクルで卸すことを可能にするため,既存の物流システム(以下,旧システムという)を再構築し,今春,物流統合システム(以下,新システムという)を完成させた。新システムは,メーカー及び小売店との間で諸情報をインターネット経由で授受する機能など,D社にとって初めてオープン系システムの技術を取り入れたものであった。
新システム開発プロジェクトは,業務チーム,開発チーム及び運用チームの3チームで構成され,情報システム部が主管する開発チームは,旧システムの開発,保守で実績のあったE社を外部委託先とした。開発チームのメンバーは,D社内に設置された新システム開発プロジェクトルームに集結し,開発を進めた。図に新システム開発プロジェクト体制を,表に新システム開発工程と主要成果物を示す。 新システム稼働後,D社の監査室は,社長からの指示を受け,新システム開発業務における外部委託管理の妥当性について,システム監査を実施することになった。被監査部門は,情報システム部及びE社であった。監査チームは,個別計画を策定し,予備調査,本調査,評価・結論という手順で監査を進めた。予備調査及び本調査によって判明した事実は,次のとおりであった。
〔判明した事実〕
- 外部委託契約の状況
- D社の外部委託先選定基準は,①経営状態が安定している,②D社の情報セキュリティ管理基準を遵守できる,③D社の品質管理基準を遵守できる,④納品物の知的財産権はD社に帰属することを了解する,の四つである。
- E社との開発業務委託契約は,プログラム開発と結合テストが対象であり,請負契約であった。納品物の知的財産権はD社に帰属することで合意済であった。
- D社からの契約条件として,従来比20%のコスト削減を求められたE社は,プログラミング作業の大半を,コストの低いシステム開発会社F社に再委託した。開発業務委託契約の中には再委託に関する条項はなかったが,F社への再委託について,事前にD社へ報告していた。
- D社からE社へ提供した資料やデータには,D社の営業秘密情報が含まれていたので,両社間でD社の営業秘密情報に関する秘密保持契約(NDA)を締結した。
- 新システム開発の状況
- 業務要件定義とシステム設計は,計画どおりに進捗していた。
- プログラム設計に着手後,システム設計の漏れが発覚した。時間が限られていたので,急きょD社の業務処理を熟知するE社の担当者に,漏れていた部分の基本設計書の作成を依頼していた。
- 新システム開発に際して,開発標準(システムコード規約,コーディング規約,ネーミング規約などから成る)の内容の見直しは行われず,既存のD社開発標準に従って開発作業が進められていた。
- 単体テストにおいて,プログラム不良によるバグが多発した。主な原因は,E社とF社のオープン系システム開発スキル不足,及び今回採用したオープン系システムに必要なコーディング規約が,既存のD社開発標準に記述されていなかったことであった。単体テストの終了は,計画よりも1週間遅延した。
- 結合テストにおいて,サブシステム間のインタフェース仕様に関する認識相違による不具合が発生したが,E社の担当者同士で話し合い,解決した。単体テストで発生した1週間の遅延は,結合テストの終了までに解消していた。
- 結合テストの終了後,D社はE社から結合テスト結果報告書を受け取ったが,前述の不具合は解決していたので,結合テスト結果報告書には目を通さなかった。
- システムテスト及びユーザ受入れテストは,計画どおりに実施された。
- E社に対する管理の状況
- プロジェクトの進捗確認,問題解決を目的とした進捗報告会議が,週1回の頻度で,D社とE社によって開催されていた。議事録,進捗報告書,問題管理表は,D社指定の様式に従って作成されていた。
- D社は,E社の進捗状況を適宜把握しており,遅延発生時には対策を講じていた。
- 過去,長年にわたって,E社に起因する重大なシステム不具合は起きていなかったので,これまでE社からの納品物に対するD社の検収は形式的になっていた。
- D社からE社へ提供した資料やデータに関して,これまでリリース後にE社が破棄するという暗黙の了解があり,今回もD社は,回収又は破棄の確認を行っていなかった。
〔指摘事項(抜粋)〕
- 委託先選定
(ア) 新システム開発において,外部委託先選定基準の設定が不十分であった。 - 契約
(イ) 開発業務委託契約書に,再委託に関する条項がなかった。 - 委託業務
(ウ) 外部委託先の担当者が,契約対象外であるシステム設計を行っていた。
(エ) 外部委託先のオープン系システム開発スキルが不足していた。
設問1
外部委託管理に関する監査のために,監査チームが被監査部門から入手すべき資料を,解答群の中から三つ選び,記号で答えよ。
解答群
- D社の職務規定
- D社の中長期経営計画
- 開発業務委託契約書
- 新システム開発プロジェクト体制図
- 進捗報告書
- ユーザマニュアル
解答入力欄
解答例・解答の要点
- ウ
- エ
- オ
解説
外部委託管理に関する監査のために,監査チームが被監査部門から入手すべき資料についての設問です。一般的なシステム監査の知識と問題文の記述から解答を導出します。
今回の監査は外部委託管理ですので、委託先に関係する資料が必要となります。解答群のうち、「開発業務委託契約書」は委託先との契約内容を確認するため、「新システム開発プロジェクト体制図」はD社と委託先の役割分担等を確認するため、「進捗報告書」は委託先からどのような進捗報告がD社に提出されているか確認するため、それぞれ入手すべき資料となります。それ以外の、D社の職務規定、D社の中長期経営計画、ユーザマニュアルはいずれも委託先管理とは無関係です。
∴ウ、エ、オ
今回の監査は外部委託管理ですので、委託先に関係する資料が必要となります。解答群のうち、「開発業務委託契約書」は委託先との契約内容を確認するため、「新システム開発プロジェクト体制図」はD社と委託先の役割分担等を確認するため、「進捗報告書」は委託先からどのような進捗報告がD社に提出されているか確認するため、それぞれ入手すべき資料となります。それ以外の、D社の職務規定、D社の中長期経営計画、ユーザマニュアルはいずれも委託先管理とは無関係です。
∴ウ、エ、オ
設問2
監査報告での指摘事項について,(1),(2)に答えよ。
- 本文中の指摘事項(イ)に関して,D社がE社からの申出を受けて再委託を認める場合,情報セキュリティの観点からE社に対して要請すべき事項を,25字以内で述べよ。
なお,E社は,F社が本文中のD社の外部委託先選定基準を満たすことを保証している。 - 委託業務の観点に基づいた指摘事項を,本文中の指摘事項(ウ),(エ)のほかに二つ挙げ,それぞれ40字以内で述べよ。
解答入力欄
- ①:
- ②:
- ①:
解答例・解答の要点
- E社とF社の間で秘密保持契約を締結する (19文字)
- ①:
E社からの結合テスト結果報告書に目を通さなかった (24文字) - ②:
E社へ提供した資料やデータに関して,回収又は破棄の確認を行っていなかった (36文字)
解説
監査報告での指摘事項についての設問です。一般的なシステム監査の知識と問題文の記述から解答を導出します。
- 再委託を認める場合に、セキュリティの観点から委託先から再委託先に対して要請すべき事項を解答します。ここで、設問には「E社は,F社がD社の外部委託先選定基準を満たすことを保証している」とあるため、委託先選定基準の一つである「D社のセキュリティ管理基準を遵守させる」という解答は除外されますので注意しましょう。
再委託にあたっては、委託元が委託先に要求していることを再委託先にも遵守させる必要があります。ただし、委託元が再委託先に直接要請することはできず、あくまで委託先(再委託先から見れば委託元)を通じて要求することになります。
本文中のセキュリティに関連する話題に注目すると秘密保持契約(NDA)という記述が見つかります。D社とE社の間では秘密保持契約が結ばれていますが、再委託に関する条項がない現状では、再委託に際してE社とF社の間で結ばれるかどうかはE社の対応によります。再委託先も同じ営業秘密情報を取り扱うことになるので、D社とE社の間では秘密保持契約を締結しているのと同様の秘密保持契約を締結することを、E社に対して要請すべきです。
∴E社とF社の間で秘密保持契約を締結する - 指摘事項は〔判明した事実〕のうち、好ましくない事実です。多くの場合、表現が否定的になっている事項が指摘事項に該当します。
〔指摘事項(抜粋)〕で挙げられている項目以外で、否定的な表現になっている事項を以下に列挙します。※解説の都合上、便宜的に番号を振っています。実際の試験問題には番号はありませんのでご注意ください。- 新システム開発に際して,開発標準(システムコード規約,コーディング規約,ネーミング規約などから成る)の内容の見直しは行われず,既存のD社開発標準に従って開発作業が進められていた。
- 結合テストにおいて,サブシステム間のインタフェース仕様に関する認識相違による不具合が発生したが,E社の担当者同士で話し合い,解決した。
- 結合テストの終了後,D社はE社から結合テスト結果報告書を受け取ったが,前述の不具合は解決していたので,結合テスト結果報告書には目を通さなかった。
- 過去,長年にわたって,E社に起因する重大なシステム不具合は起きていなかったので,これまでE社からの納品物に対するD社の検収は形式的になっていた。
- D社からE社へ提供した資料やデータに関して,これまでリリース後にE社が破棄するという暗黙の了解があり,今回もD社は,回収又は破棄の確認を行っていなかった。
ⅰは新システム開発に際して標準を見直さなかったのはD社内の問題のため、ⅱは委託先であるE社内の問題のため、ⅳは形式的と言えども規定通りに検収は行われており、システム管理基準の「サービスや成果物の検収は、契約に基づいて外部委託元管理者が実施し、検収結果は外部委託元部門長が承認すること」という管理項目に反しているとまでは言えないので指摘事項とはなりません。
∴①=E社からの結合テスト結果報告書に目を通さなかった
②=E社へ提供した資料やデータに関して,回収又は破棄の確認を行っていなかった
※試験実施当時のシステム管理基準(平成16年)では"委託業務"という章がありましたが、システム管理基準(平成30年)ではⅦ.外部サービス管理 - 3.2 委託先管理として再構成されています。
設問3
監査報告での改善勧告について,(1),(2)に答えよ。
- 本文中の下線の活動の名称を答えよ。
- 本文中の指摘事項(ウ),(エ)に対する被監査部門の改善状況について,次回システム監査の場で監査チームが確認する事項として最も適切なものを,解答群の中からそれぞれ一つ選び,記号で答えよ。
解答群
- オープン系システム人材育成計画を策定していること
- オープン系システムの開発標準を整備しD社内で遵守していること
- 開発業務委託契約書に委託する工程と役割を明記し,遵守していること
- 開発プロジェクトにおいてシステム設計レビューを強化していること
- 外部委託先から担当者のスキルシートを提出させていること
- 外部委託先選定基準に,"必要な開発スキルの保有"を追加していること
- プロジェクト体制図に外部委託先の責任者名を明記していること
解答入力欄
- (ウ):
- (エ):
解答例・解答の要点
- 改善指導 又は フォローアップ
- (ウ):ウ
- (エ):カ
解説
- 監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、システム監査人は、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければなりません。この活動を「フォローアップ」といいます。
∴フォローアップ(改善指導) - 〔(ウ)について〕
今回の場合、E社に委託している内容は〔判明した事実〕(1)外部委託契約の状況に「E社との開発業務委託契約は,プログラム開発と結合テストが対象」とあります。それにもかかわらず、契約対象外である作業を委託先が実施していたのは、開発業務委託契約書に記載された「委託する工程と役割」が曖昧であったか、明確であっても現場レベルで契約外作業を勝手に行われた可能性が考えられます。よって、フォローアップで監査人が確認すべき事項は、「ウ」の「開発業務委託契約書に委託する工程と役割を明記し,遵守していること」となります。
〔(エ)について〕
今回の事例では、D社が初めて取り入れるオープン系システムの技術を委託先であるE社が持っていなかったことが問題となっています。必要な開発スキルがないにもかかわらず委託してしまうことを防止できるようにするため、フォローアップで監査人が確認すべき事項は、「カ」の「外部委託先選定基準に,"必要な開発スキルの保有"を追加していること」となります。
「ア」「イ」は、D社内の今後の取組みに関する事項であり、今回の監査テーマである業務委託とは直接関係ないので不適切。「オ」のスキルシートの提出は、"必要な開発スキルの保有"という外部選定基準を確認するために委託先候補に要請する事項ですが、根本的な解決にはならないので確認事項としては不適切です。